13-07-2020

Maestría en Seguridad Informática

Actividad: Análisis comparativo ITIL/ISO 27001/OISM3

TABLAS COMPARATIVAS

Materia: Sistemas de Gestión de la Seguridad de la Información

Profesora: MASTI María del Carmen García

Alumno: Jesús Iván Castro Flores

Ac
 Asignatura Datos del alumno Fecha
Sistemas de Gestión Apellidos: Castro Flores
de la Seguridad de la 13/07/2020
Información Nombre: Jesús Iván

tividad: Análisis comparativo ITIL/ISO 27001/OISM3

Para profundizar más en la complementariedad de la guía de buenas prácticas ITIL, la

norma ISO 27001 y el modelo de madurez OISM3, es necesario entender
conceptualmente:

1. Las diferencias en su ámbito y aplicabilidad, es decir «para qué sirve cada una».
2. Su audiencia, es decir «a quién están destinadas».
3. Su marco conceptual, por ejemplo, qué se entiende en cada una por política o
proceso y si son conceptos completamente equivalentes o no.
4. Cómo pueden hacerse correspondencias entre sus diferentes elementos,
dependiendo del análisis realizado en el punto anterior.

Para fijar bien los conceptos, haz un diagrama y/o tablas para especificar las
correspondencias y diferencias.

TEMA 2 – Actividades
 Asignatura Datos del alumno Fecha
Sistemas de Gestión Apellidos: Castro Flores
de la Seguridad de la 13/07/2020
Información Nombre: Jesús Iván

INTRODUCCIÓN

La información es el principal activo de muchas organizaciones y precisa ser protegida

adecuadamente frente a amenazas que puedan poner en peligro la continuidad del
negocio.

En la actualidad, las empresas de cualquier tipo o sector de actividad se enfrentan cada

vez más con riesgos e inseguridades procedentes de una amplia variedad de
contingencias, las cuales pueden dañar considerablemente tanto los sistemas de
información como la información procesada y almacenada.

Ante estas circunstancias, las organizaciones han de establecer estrategias y controles

adecuados que garanticen una gestión segura de los procesos del negocio, primando la
protección de la información.

Para proteger la información de una manera coherente y eficaz es necesario

implementar un Sistema de Gestión de Seguridad de la Información (SGSI). Este
sistema es una parte del sistema global de gestión, basado en un análisis de los riesgos
del negocio, que permite asegurar la información frente a la pérdida de:

• Confidencialidad: sólo accederá a la información quien se encuentre autorizado.

• Integridad: la información será exacta y completa.

• Disponibilidad: los usuarios autorizados tendrán acceso a la información

cuando lo requieran.

La seguridad total es inalcanzable, pero mediante el proceso de mejora continua del

sistema de seguridad se puede conseguir un nivel de seguridad altamente satisfactorio,
que reduzca al mínimo los riesgos a los que se está expuesto y el impacto que
ocasionarían si efectivamente se produjeran.

TEMA 2 – Actividades
 Asignatura Datos del alumno Fecha
Sistemas de Gestión Apellidos: Castro Flores
de la Seguridad de la 13/07/2020
Información Nombre: Jesús Iván

OBJETIVO
Entender de manera clara las diferencias y similitudes de ITIL / ISO/IEC27001 y O-
ISM3 para poder complementarlos de manera adecuada y tener elementos dentro de
las empresas que permitan tener una mejor preparación ante incidentes de operaciones
de seguridad.

PROPÓSITO GENERAL

ITIL (Information Technology Infrastructure Library) Este proceso produce

documentación de procesos, tareas y listas de control no específicas de la
organización con el objetivo de poder crear una línea de base a partir de la cual
implementar controles y medir el éxito. ITIL fue diseñado como un marco de
administración de servicios para ayudarle a entender cómo usted apoya procesos, cómo
usted entrega servicios. ITIL enfoca los procesos de TI.

ISO27001 No proporciona detalles específicos de lo que debe hacerse o como hacerlo

en la industria, pues pone de manifiesto un marco general para el desarrollo de
controles. Básicamente, la ISO brinda seguridad, pero no proporciona reconocer cómo
integrarlos en el proceso de negocio.

O-ISM3 (Open Information Security Management Maturity Model) Se considera como

un modelo de madurez el cual consiste en un conjunto estructurado de elementos que
describen los niveles de madurez mediante un orden claro y absoluto, de manera
explícita enmarca la evolución de la organización en esta línea de pensamiento.

Para su Aplicación:

ITIL apunta a los estándares ISO como un marco en el cual implementar una solución.
Esto es válido también para las organizaciones que deseen utilizar las normas ISO con
reconocimiento global sin que sea necesario obtener la certificación ISO 27001.

ISO/IEC27001 Tiene como objetivo proporcionar una comunicación fiable y segura en

el intercambio de datos en las organizaciones. Asimismo, hace hincapié en un enfoque
de riesgo para el cumplimiento de sus objetivos. Las organizaciones que deseen operar
a través de fronteras internacionales pueden considerar que la implementación y la
certificación son ventajosas. Además, algunas empresas certificadas en ISO/IEC 27001
requieren que los socios se certifiquen también.

TEMA 2 – Actividades
 Asignatura Datos del alumno Fecha
Sistemas de Gestión Apellidos: Castro Flores
de la Seguridad de la 13/07/2020
Información Nombre: Jesús Iván

A continuación, se desarrollan los puntos 1 y 2 correspondientes a la presente

Actividad:

ITIL O-ISM3 (Open

ISO 27001
(Information Information
Guía / Norma / (International
Technology Security
Modelo Organization for
Infrastructure Management
Standard)
Library) Maturity Model)
Es un conjunto de Formula un Está más orientado
prácticas sistema de gestión a la Ciberseguridad
recomendadas que que, para controlar con la variación de
una organización la seguridad de la un enfoque de la
puede implementar información, no información
para alinear los proporciona basada totalmente
recursos de TI y las controles en procesos.
ofertas con las específicos o Introduce el uso de
Ámbito de metas de negocio. relacionados con la la mejora continua
aplicabilidad Se ofrece en una industria, pues de ciclo corto en la
serie de cinco pone de manifiesto administración de
publicaciones un marco general la seguridad de la
principales, cada para el desarrollo información con la
una de estos. finalidad de
correspondiente a garantizar la
una etapa en el consecución de los
ciclo de vida de TI. objetivos de
negocio.
Organizaciones con Todo tipo de Organizaciones
enfoque a TI. organizaciones. maduras y
Audiencia Orientada a Orientada a emergentes.
Procesos. Controles. Orientada a
Procesos.

TEMA 2 – Actividades
 Asignatura Datos del alumno Fecha
Sistemas de Gestión Apellidos: Castro Flores
de la Seguridad de la 13/07/2020
Información Nombre: Jesús Iván

COMPARATIVO DE MARCO CONCEPTUAL

Guía / Norma / O-ISM3 (Open

ITIL
Modelo ISO 27001 Information
(Information
(International Security
Technology
Organization for Management
Infrastructure
RUBRO Standard) Maturity
Library)
Model)
SGSI
MODELO PDCA SI SI SI
NIVELES DE
SI
MADUREZ
GESTION DE
SI SI SI
RIESGOS
ALTA DIRECCIÓN
SI SI SI
INVOLUCRADA
DOCUMENTACIÓ
SI SI SI
N
AUDITORIA SI SI SI
GESTIÓN DE
SI SI SI
RECURSOS

En definitiva, lo más importante de todo este proceso es la forma en que desencadena

una serie de controles (o metricas) a documentar y conservar, por esto podemos
afirmar que se trata de los aspectos fundamentales de un SGSI (junto con la Valoración
de riesgo) pues como bien sabemos el objetivo es la mitigación/eliminación del mismo.

Sin embargo los controles serán seleccionados e implementados de acuerdo a los

requerimientos identificados por la valoración del riesgo y los procesos de tratamiento
del mismo. En cuanto a las Formas de afrontar el riesgo, una empresa puede
afrontar el riesgo básicamente de tres maneras diferentes: eliminarlo, mitigarlo o
trasladarlo.

Por las razones anteriores se concluye la necesidad actual por parte de las
organizaciones en abordar la convergencia con la gestión de la seguridad en todos sus
aspectos. Destacando en el ámbito de las TI y la relación con todos los procesos dentro
del marco más aceptado en Buenas prácticas sobre la Gestión del Servicio ITIL, la

TEMA 2 – Actividades
 Asignatura Datos del alumno Fecha
Sistemas de Gestión Apellidos: Castro Flores
de la Seguridad de la 13/07/2020
Información Nombre: Jesús Iván

universalidad de la norma ISO/IEC 27001, con la madurez y versatilidad de un modelo

como O-ISM3. Para realizar una correspondencia adecuada me parece que aquí nos
falta una metodoogia adecuada para una completa integración de un SGSI, sin
embargo, considero que puede consolidar la integración de ISO/IEC27001 con
OISM3 aprovechando la universalidad y la Madurez que obtendríamos entre ambos
respecto al establecimiento de controles y manejo del riesgo con el enfoque de
ISO/IEC27001 para el establecimiento de controles y el enfoque a procesos
que brinda O-ISM3 para obtener correspondencias.

En mi opinion se requieren tres grandes lineas para conformar el cuerpo de Seguridad

de la Información de una Compañía para un correcto tratamiento del riesgo:

 Un Sistema de Gestión de Seguridad de la Información

 Correcta y adecuada Valoración de Riesgos
 Controles

Basado en los criterios y requerimientos definidos por la empresa; Esto nos lleva a
conjugar normas y guías para complementar un modelado de un SGSI hecho a la
medida de las necesidades de la compañía. Como una nota personal y de acuerdo con el
uso indistinto de la triada CID, considero debe unificarse en lo sucesivo como un
criterio normativo propio de Gestión de Seguridad; De acuerdo con las dimensiones de
los activos definidas en ISO/IEC 27001 y COBITv5.0, orientados a la metodología de
Análisis y Gestión de Riesgos Magerit (MageritV3 2012); Debiendo ser:

• Confidencialidad
• Integridad
• Disponibilidad
• Auntentificación
• Legalidad y;
• No repudio/No negación

Dejando como linea de pensamiento futura el analizar otras dimensiones como:

• Impacto sobre las personas
• Impacto económico

TEMA 2 – Actividades
 Asignatura Datos del alumno Fecha
Sistemas de Gestión Apellidos: Castro Flores
de la Seguridad de la 13/07/2020
Información Nombre: Jesús Iván

• Impacto Medioambiental
• Impacto Público y Social o Stakeholders

Referencias:

Diego Cortes Robles(2017) Interacciones entre ITIL, COBIT e ISO27001. Noticias de

Ciberseguridad. Recuperado de: https://www.seguridadyfirewall.cl/2017/02/interacciones-
entre-itil-cobit-e.html
ISOTools Excellence. (2016)La diferencia entre la norma ISO 27001 e ITIL. Blog
especializado en Sistemas de Gestión de Seguridad de la Información. Recuperado de:
https://www.pmg-ssi.com/2016/03/diferencia-norma-iso-27001-itil/

TEMA 2 – Actividades